# Bezpieczeństwo danych partnera rozwiązań Asany > Standardy bezpieczeństwa danych partnera Asany Source: https://asana.com/pl/terms/solutions-partner-data-security Dokument ten przedstawia minimalne wymagania dotyczące bezpieczeństwa (zabezpieczenia administracyjne, techniczne i fizyczne) wszystkich stron trzecich świadczących usługi Klientom Asany („Podwykonawcy”). Chyba że w niniejszym dokumencie określono inaczej, terminy zapisane wielką literą mają znaczenie przypisane im w obowiązujących umowach świadczenia usług zawartych między Asaną i Podwykonawcą. ## 1. Program bezpieczeństwa **a.** Podwykonawca prowadzi program bezpieczeństwa informacji mający na celu zapewnienie bezpieczeństwa, dostępności, integralności i poufności Danych klienta. Program obejmuje: i. Formalne zarządzanie ryzykiem ii. Okresową ocenę ryzyka iii. Testy penetracyjne przeprowadzane co najmniej raz w roku przez wykwalifikowaną, niezależną stronę trzecią. Jeśli konieczne będzie podjęcie czynności naprawczych, Podwykonawca wykona je w rozsądnym czasie, uwzględniającym prawdopodobieństwo wystąpienia i wpływ wykrytych problemów. **b.** Dostawca ma wyznaczonego Kierownika ds. bezpieczeństwa oraz pracowników odpowiedzialnych za kwestie związane z bezpieczeństwem informacji. ## 2. Zasady i procedury **a.** Podwykonawca wdrożył następujące zasady: i. Zasady dotyczące akceptowalnego wykorzystania Danych klienta. ii. Zasady dotyczące bezpieczeństwa informacji mające na celu zapewnienie pracownikom informacji na temat zachowywania bezpieczeństwa, poufności, integralności i dostępności Danych klienta. **b.** Podwykonawca co najmniej raz w roku sprawdza i aktualizuje te zasady i procedury. **c.** Na pisemne żądanie Asany, a nie częściej niż raz na sześć miesięcy, Dostawca udostępni Asanie kopię swoich Zasad dotyczących bezpieczeństwa informacji, Zasad dotyczących akceptowalnego użycia oraz wszelkie aktualne branżowe albo wydane przez strony trzecie atesty i certyfikaty (np. SOC 2 typu II, ISO 27001), a także wszelkie zmiany i uaktualnienia tych zasad. Jeśli Asana będzie miała uzasadnione przypuszczenie, że na podstawie opisanych tutaj kryteriów Dostawca ma luki w programie, Asana może zażądać w formie pisemnej uzupełnienia przez Dostawcę dodatkowego kwestionariusza dotyczącego bezpieczeństwa, a Dostawca potwierdzi odebranie tego żądania w ciągu trzydziestu dni. Uzupełnienie takiego kwestionariusza musi potwierdzić i przyjąć mianowany Kierownik ds. bezpieczeństwa Dostawcy. ## 3. Szkolenie **a.** Podwykonawca musi przeszkolić pracowników z zakresu bezpieczeństwa i prywatności informacji zaraz po ich zatrudnieniu, a następnie przeprowadzać takie szkolenie co najmniej raz w roku. **b.** Podwykonawca musi uzyskać potwierdzenie, że nowi pracownicy przeczytali i akceptują zasady oraz procedury Podwykonawcy, w tym zasady dotyczące bezpieczeństwa informacji, a następnie co najmniej raz w roku odnawiać to potwierdzenie. ## 4. Kontrola dostępu **a.** Podwykonawca będzie uzyskiwał dostęp tylko do Danych klienta niezbędnych do świadczenia umówionych usług. Dla przykładu, jeśli Asana zamówiła u Podwykonawcy Usługi szkoleniowe, w żadnym momencie realizacji tego zamówienia Podwykonawca nie uzyska dostępu do instancji usługi Asany Klienta. Podwykonawca powinien współpracować z Klientem, aby opracować najlepsze metody świadczenia Usług szkoleniowych, co obejmuje między innymi udostępnianie ekranu, nagrywanie wideo i inne metody przechwytywania ekranu potrzebne do udostępnienia wyszczególnionego w Zamówieniu szkolenia lub wsparcia. **b.** Podwykonawca zapewni, że jego pracownicy będą mogli uzyskać dostęp do Danych klienta w systemach Podwykonawcy tylko za pomocą uwierzytelniania wieloetapowego. **c.** Podwykonawca musi zapewnić, ze wszystkie hasła mają co najmniej siłę zgodną z wymogami NIST 800-63b dotyczącymi siły haseł. **d.** Podwykonawca musi zapisywać i monitorować dostęp do Danych klienta oraz szybko sprawdzać podejrzane działania. **e.** Podwykonawca musi przyznawać dostęp zgodnie z zasadą przydzielania jak najmniejszych uprawnień. **f.** Po rozwiązaniu umowy Podwykonawca musi w ciągu 24 godzin zablokować w swoich systemach dostęp pracowników do Danych klienta. ## 5. Zgłaszanie incydentów **a.** Podwykonawca ma weryfikowany co najmniej raz w roku Plan reagowania na incydenty bezpieczeństwa. **b.** Podwykonawca sprawdza co najmniej raz w roku Plan reagowania na incydenty bezpieczeństwa. **c.** Podwykonawca musi zgłaszać Incydenty bezpieczeństwa zgodnie z Aneksem dotyczącym przetwarzania danych Asany. ## 6. Szyfrowanie **a.** Podwykonawca stosuje odpowiedni mechanizm szyfrowania podczas przechowywania i przesyłania danych (minimalnie: TLS 1.2, ssh, AES-256). ## 7. Sprzęt **a.** Podwykonawca spełni wymagania dotyczące sprzętu na podstawie Usług wymienionych w Zamówieniu. **W przypadku Usług szkolenia:** **1.** Podwykonawca prowadzi okresowo uaktualniany, analizowany i sprawdzany inwentarz punktów końcowych użytkownika. **2.** Podwykonawca ma udokumentowany proces aprowizacji punktów końcowych oparty na udokumentowanych standardach zwiększania bezpieczeństwa. **3.** Punkty końcowe Podwykonawcy obejmują uzasadnione komercyjnie mechanizmy bezpieczeństwa, w tym minimalnie: - lokalne szyfrowanie dysku twardego; - lokalne hasło; - oprogramowanie EDR oferujące stałe monitorowanie, w tym skanowanie przeciwko wirusom i oprogramowaniu złośliwemu, zapewniające możliwości wykrywania, kwarantanny i raportowania. **4.** Podwykonawca korzysta z mechanizmów zachowania kontroli nad dystrybucją nośników wrażliwych, co obejmuje uniemożliwienie użytkownikom przesyłania plików za pomocą niezatwierdzonych usług transferu plików albo przenoszenia danych na nośniki zewnętrzne (np. dyski USB). **5.** Podwykonawca stosuje mechanizmy bezpiecznej utylizacji, zniszczenia lub zmiany przeznaczenia nieużywanego dłużej sprzętu. **6.** Podwykonawca zobowiązuje się zwrócić w rozsądnym czasie niepotrzebny dłużej sprzęt. **7.** Podwykonawca ma możliwość zdalnego wykasowania danych na skradzionych lub w inny sposób utraconych urządzeniach. **W przypadku Usług zintegrowanych i usług innych niż Usługi szkolenia:** **1.** Podwykonawca do wykonania pracy związanej z usługami będzie używał tylko urządzeń zarządzanych przez Asanę. Podwykonawca może wybrać jedno z poniższych: **a.** Odebrać zarządzany sprzęt od Asany potrzebny do interakcji z Klientami Asany. Jeśli Podwykonawca odbierze sprzęt, będzie musiał używać tylko sprzętu Asany podczas świadczenia usług powiązanych z Klientami Asany zgodnie z warunkami umowy zawartej między Asaną i Podwykonawcą. **b.** Udostępnić nowego, nieskonfigurowanego laptopa, na którym zostaną wdrożone systemy zarządzania punktami końcowymi Asany. Asana zainstaluje aplikacje przeciwdziałające wirusom i oprogramowaniu złośliwemu, aby zapewnić, że urządzenie spełnia nasze minimalne wymogi dotyczące bezpieczeństwa. ## 8. Zarządzanie dostawcami **a.** Przed rozpoczęciem świadczenia usługi Podwykonawca przeprowadzi ocenę ryzyka wszelkich zewnętrznych usługodawców mających dostęp do Danych klienta. **b.** Podwykonawca podejmie rozsądne działania mające na celu zapewnienie spełniania przez zewnętrznego usługodawcę minimalnych środków bezpieczeństwa opisanych w niniejszej umowie. ## 9. Rozwiązanie umowy **a.** Poza Usługami szkolenia Podwykonawca uzyska dostęp do instancji Usługi Asany Klienta tylko w okresie określonym w odpowiednim Zamówieniu. Po zakończeniu współpracy z Klientem Dostawca nie będzie miał dalszego dostępu do środowiska Asany Klienta. **b.** Podwykonawca zapewnia, że po zakończeniu świadczenia usług wszelkie Dane klienta pobrane lub zapisane poza jego instancją Asany oraz wszelkie kopie zostaną zniszczone. ## 10. Kontrola pracowników **a.** Podwykonawca sprawdzi przeszłość zatrudnianych pracowników. Kontrola ta zostanie przeprowadzona zgodnie z lokalnymi przepisami prawa, zasadami, normami etycznymi i zobowiązaniami umownymi, a także proporcjonalnie do klasyfikacji danych, wymagań biznesowych i akceptowalnego ryzyka.